אז הרשת מאובטחת או לא?

כהמשך לפוסט הקודם שלי, ובעקבות מבול התגובות שקיבלתי עליו, אני רוצה לעשות קצת סדר בנושא רשתות אלחוטיות ורמת האבטחה שלהן. מסתבר שיש בלבול לא קטן בין "סיסמאות" לבין "אבטחה", וכדאי להבין את המושגים שבהם משתמשים.

מי שינסה להתחבר לרשת אלחוטית ממכשיר נייד, יראה כמה סוגים של רשתות; כל שיטת גישה מחביאה מאחוריה פרוטוקולים כבדים ומורכבים שאין לי כוונה לפרט כאן – אבל ניתן לכם את המשמעויות העיקריות של כל שיטה.

1. רשת פתוחה (Open) – רשת אלחוטית שכל מכשיר יכול להתחבר אליה ללא בקרת כניסה. תחשבו על אולם גדול ומלא אנשים, שכל אחד יכול בו לצעוק כאוות נפשו. אני יכול להיכנס, לקרוא לצד השני של האולם "יעקב, מתי לבוא אליכם ומה להביא?" והוא יענה לי "יאיר, תבואו בשמונה ולא צריך להביא כלום". פתוח לגמרי, וזה גם אומר שכל אחד שומע את מה שהאחרים אומרים.

פה ושם נתקלתי גם ברשתות פתוחות עם בקרת כניסה, שבהן רק מחשבים מסויימים (מזוהים עפ"י כתובת חומרה, ונניח לצורך הדיון שזה משהו שקשה לזייף) מורשים "לדבר". זה עדיין לא משנה את העובדה שהרשת פתוחה, כל אחד יכול להיכנס לחדר, ואם זה מעניין אותו – לשמוע מה אומרים כל האחרים.

2. רשת מוגנת WEP – כמו רשת פתוחה, אבל רק מכשירים שמחזיקים בסיסמא יכולים להשתתף. מי שלא מכיר את הסיסמא נשאר בחוץ, לא יכול לדבר ולא יכול להקשיב.

כמה זמן לוקח לגלות את הסיסמא? בין שניות לדקות, תלוי במיומנות הפורץ ועומס התעבורה ברשת. מרגע שהסיסמא פוצחה, אין שום הבדל בין WEP לבין רשת פתוחה. (אגב, אחת התגובות לפוסט הקודם דיברה על כוחם של המתימטיקאים לעומת כוחם של מומחי הפרוטוקולים; הפריצה ל-WEP היתה דוגמא ומופת לשיתוף פעולה בין השניים)

3. רשת מוגנת WPA-PSK – מאוד דומה ל-WEP, למעט מספר הבדלים טכנולוגיים. עדיין הגישה מוגנת בסיסמא, מי שמכיר אותה יכול לגלוש ברשת וגם – תחת מגבלות מסויימות – להאזין לכל מה שעושים מחשבים אחרים ברשת.

ההבדל המשמעותי בין WPA-PSK ל-WEP הוא במהירות הפיצוח של הסיסמא. אם סיסמת WEP מתפצחת בשניות, פיצוח סיסמת WPA-PSK יכול לקחת בין שעות לשנים. אם יודעים משהו על הסיסמא אפשר לצמצם את הזמן הנדרש לחיפוש ההתאמה. למשל, אם מנחשים שהסיסמא היא מספר טלפון סלולרי ישראלי (קידומת 05 ואז עוד 8 ספרות), אז זה עניין של שעתיים לכל היותר.

סיסמא מוצלחת תהיה מורכבת מיותר מ-10 אותיות וספרות (ואולי גם סימנים נוספים), ולא תהיה משהו שקל לנחש את תבניתו. בנוסף, צריך להחליף אותה מדי פעם.

4. רשת מוגנת WPA-Enterprise – רמת אבטחה מקסימלית: הכניסה לרשת מוגנת במפתח דיגיטלי ולא בסיסמא, כאשר לכל מכשיר נייד יש מפתח שונה. מי שיכול להיכנס לרשת לא יכול להאזין למה שאומרים המשתתפים האחרים.

המושג של "מפתח דיגיטלי" פירושו שצריך להגיע פיזית לכל לפטופ, ולהתקין עליו כמה קבצים קטנים לפני שהוא יוכל להתחבר לרשת. מדובר על פרוצדורה לא פשוטה, ולא כל נתב אלחוטי תומך בתקן הזה (לפעמים צריך להקים שרת-עזר שמחובר לנתב בחיבור קווי). מבחינת הפורצים, פריצה לרשת כזו נחשבת ללא-ריאלית; גם מי שמחזיק במכשיר "מורשה" לא יכול להשתמש בידע שיש לו כדי לחדור למידע של אחרים.

אז מה זה בעצם אומר על הרשת שלי? מאוד פשוט: אם זו לא רשת פרטית מוגנת WPA עם סיסמא חזקה, או רשת WPA-Enterprise – כל מה שאתה עושה ברשת, כל החיפושים שלך בגוגל, כל האתרים שאליהם אתה גולש, כל הקבצים שאתה מוריד, הקטגוריות האהובות עליך באתרי הזימה, הדואר האלקטרוני שלך, הפרופילים בפייסבוק שבהם אתה מציץ – כולם גלויים לכל מי שנמצא בטווח של כמה עשרות מטרים עם לפטופ פשוט. וזה בלי שום נסיון פריצה אקטיבי למכשיר שלך – רק האזנה שקטה מרחוק.

בשורה התחתונה: כל רשת ציבורית שאליה מתחברים בלי סיסמא, או עם סיסמא שמקבלים על פתק – דינה כדין רשת פתוחה. כל מי שנמצא ברשת יכול להאזין לך, למעט גלישה באתרים מאובטחים (HTTPS).

ומה אומר החוק לגבי זה? שאלה טובה, אני אשמח אם מישהו מעורכי הדין יגיב על זה.

מודעות פרסומת
פוסט זה פורסם בקטגוריה טכני. אפשר להגיע ישירות לפוסט זה עם קישור ישיר.

6 תגובות על אז הרשת מאובטחת או לא?

  1. A הגיב:

    רשת המוגנת הסיסמא (חלשה או חזקה, לא משנה לצורך העניין),
    האם הסיסמא משמשת רק הצטרפות לרשת?
    ברגע שמישהו שמחזיק בסיסמא הצטרף לרשת, מה מונע ממנו להקשיב לכל התעבורה?
    מה מבדיל רשת כזו מרשת פתוחה? האם יש הצפנה כלשהי בין כל לקוח לנתב?

    • יאיר הגיב:

      ברגע שמישהו שמחזיק בסיסמא נמצא בטווח האזנה של הרשת, הוא יכול להקשיב לכל התעבורה.
      לא צריך אפילו להצטרף לרשת, מספיק להאזין. אפשר גם להקליט בלי הסיסמא ואח"כ להשיג את הסיסמא ולפענח את ההקלטה רטרואקטיבית.

      ההבדל בין רשת מוגנת בסיסמא ורשת פתוחה הוא בפרטים טכניים מינוריים שקשורים לאופן הפענוח (במקרה של WPA-PSK, צריך להקליט אותך מרגע ההצטרפות כדי להאזין לך), זה לא משנה שום דבר פרקטי.
      הגנה אמיתית קיימת רק בתצורת WPA-Enterprise שלא תמצא בשום בית קפה.

      • A הגיב:

        כלומר, לא משנה אם אני מחובר לרשת פתוחה או מוגנת הסיסמא,
        ההבדל היחיד הוא מי יכול להקשיב לי, האם כל העולם, או רק המחזיקים הסיסמא,
        ולכן גם כאשר אני ברשת "מאובטחת" (סיסמא), ההתגוננות היא על ידי גלישה בפרוטוקול HTTPS (ע"מ שלא יוכלו לפענח את התעבורה), להתייחס לאזהרות האבטחה של הדפדפן (על מנת להמנע מהתחזות לשרת) וגלישה ישירה לאתרים (על מנת להמנע מזיוף תוצאות החיפוש)?

      • יאיר הגיב:

        נכון. וכל זאת בהנחה שהמחשב שלך מוגן ומעודכן, וגם השרת.

      • A הגיב:

        1. על המחשב שלי אני יכול להיות אחראי, אבל איזה שרת? השרת של אתר הבנק לדוגמא?
        2. למדעת האופציה הרביעית שהזכרת מעלה, האם אין רשת שבה כל התקשורת בין הלקוח לבין הנתב מוצפנת, גם כאשר לא משתמשים ב HTTPS, ע"מ שלא כל מי שמחובר לרשת יוכל לראות את המידע שעובר?

      • יאיר הגיב:

        1 – כן, הכוונה לשרת אליו אתה מתחבר (בנק, ביטוח לאומי, חנות). אין לך איך להתגונן במקרה שמישהו תוקף את השרת עצמו.
        2 – רק בתצורת WPA-Enterprise.

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s